El entendimiento académico actual de la regulación de seguridad de la información es limitado, existen varios mecanismos en competencia, muchos de los cuales no están verificados en los tribunales ni ante reguladores estatales, y se están proponiendo nuevos mecanismos ordinarios. Tal vez más preocupante sea incluso el ritmo en que el cambio de la tecnología y las amenazas sobrepasa con mucho las capacidades de hasta los reguladores más sofisticados. Basándose en el caso norteamericano, la tesis de Thaw se centra en el entendimiento de cómo se clasifican estas leyes, qué efectos tienen y cuáles son las implicaciones de estos efectos para las organizaciones y los profesionales. El autor saca dos conclusiones: primera, que la combinación de leyes y modelos de “delegación reguladora” basados en la gestión es mejor para impedir infracciones de la información personal por organizaciones de lo que lo es sólo el modelo por separado. Segundo, la legislación prescriptiva orientada al cumplimiento debilita el papel de los profesionales de la seguridad en el seno de las organizaciones, en tanto que los modelos de delegación regulatoria basados en la gestión fortalecen el papel de los profesionales dentro de las organizaciones.